unidad vi

24
Universidad de El Salvador | Teoría Administrativa - TAD115 UNIDAD VI. CONTROL.

Upload: michelleguillen

Post on 16-Dec-2015

5 views

Category:

Documents


0 download

DESCRIPTION

CONTROL

TRANSCRIPT

  • Universidad de El Salvador | Teora Administrativa - TAD115

    UNIDAD VI. CONTROL.

  • El control es una etapa primordial en la administracin, pues, aunque una empresa cuente con magnficos planes, una estructura organizacional adecuada y una direccin eficiente, el ejecutivo no podr verificar cul es la situacin real de la organizacin si no existe un mecanismo que se cerciore e informe si los hechos van de acuerdo con los objetivos. El concepto de control es muy general y puede ser utilizado en el contexto organizacional para evaluar el desempeo general frente a un plan estratgico.

    A fin de incentivar que cada uno establezca una definicin propia del concepto se revisara algunos planteamientos de varios autores estudiosos del tema:

    Henry Farol: El control consiste en verificar si todo ocurre de conformidad con el PANM adoptado, con las instrucciones emitidas y con los principios establecidos. Tiene como fin sealar las debilidades y errores a fin de rectificarlos e impedir que se produzcan nuevamente.

    Robert B. Buchele: El proceso de medir los actuales resultados en relacin con los planes, diagnosticando la razn de las desviaciones y tomando las medidas correctivas necesarias.

    George R. Terry: El proceso para determinar lo que se est llevando a cabo, valorizacin y, si es necesario, aplicando medidas correctivas, de manera que la ejecucin se desarrolle de acuerdo con lo planeado.

    Robert C. Appleby: La medicin y correccin de las realizaciones de los subordinados con el fin de asegurar que tanto los objetivos de la empresa como los planes para alcanzarlos se cumplan econmica y eficazmente.

    Harold Koontz y Ciril ODonell: Implica la medicin de lo logrado en relacin con lo estndar y la correccin de las desviaciones, para asegurar la obtencin de los objetivos de acuerdo con el plan.

    Chiavenato: El control es una funcin administrativa: es la fase del proceso administrativo que mide y evala el desempeo y toma la accin correctiva cuando se necesita. De este modo, el control es un proceso esencialmente regulador.

    Definicin de control.

  • Similitudes entre Control Interno y Auditora Informtica: Lo puede acometer personal interno; conocimientos especializados en TI; verificacin del cumplimiento de controles internos, normativas, y procedimientos establecidos por la Direccin de Informtica y la Direccin General para los sistemas de informacin.

    Diferencias

    Control Interno Informtico Auditora Informtica

    Anlisis de los controles en el da a da. Anlisis en un momento determinado.

    Informa a la Direccin del Departamento de Informtica.

    Informa a la Direccin General de la Organizacin.

    Solo persona interno. Tanto personal interno como externo.

    El alcance de sus funciones es nicamente sobre el Departamento de Informtica.

    El alcance de sus funciones tiene cobertura sobre todos

    los componentes de los sistemas de informacin de la

    Organizacin.

    Control Interno y Auditoria Informtica.

  • Los controles cuando se diseen, desarrollen e implanten han de ser al menos completos, simples, fiables, revisables, adecuados y rentables. Normalmente, estos controles son automticos, aunque sus resultados se revisan de forma manual.

    Sistemas de control interno informtico.

    Los objetivos de los controles informticos se han clasificados en las siguientes categoras: Controles preventivos: controles para tratar de evitar un hecho, como un software de seguridad que impida los

    accesos no autorizados al sistema.

    Controles detectivos: controles para cuando fallan los controles preventivos, se de tratar de conocer cuanto antes el evento.

    Controles correctivos: controles que facilitan la vuelta a la normalidad cuando se ha producido incidencias (por ejemplo copias de seguridad).

    Se deben definir objetivos de control y mtodos de control interno.

    Ejemplo: como objetivo tenemos seguridad de acceso y el mtodo de control en este caso ser identificacin de usuarios. Las relaciones no siempre son uno a uno.

  • Los controles pueden implantarse a varios niveles diferentes.

    Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los distintos niveles de control y elementos relacionados. Por tanto, se debe conocer a fondo y documentar: Entorno de red, configuracin del computador/es central/es, entorno de aplicaciones, productos y herramientas de desarrollo de software, seguridad (en especial del computador central y bases de datos).

    Para la implantacin de un sistema de controles internos informticos habr que definir objetivos, mtodos y poltica de control para:

    Gestin de sistemas de informacin: a travs de polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los controles correspondientes.

    Administracin de sistemas: a travs de controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes.

    Seguridad: debe incluir las tres clases de controles fundamentales implantados en el software del sistema, como integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

    Gestin de cambio: separacin de las pruebas y la produccin a nivel de software y controles de procedimientos, para la migracin de programas software aprobados y probados.

    Implantacin de un sistema de controles internos informticos.

  • Direccin de Negocio o Direccin de Sistemas de Informacin: han de definir la poltica y/o directrices para los sistemas de informacin en base a las exigencias del negocio, que podrn ser internas o externas.

    La implantacin de una poltica y cultura sobre la seguridad, requiere que sea realizada por fases, como se puede ver en la figura, y est respaldada por la direccin, donde cada funcin juega un papel importante en las distintas etapas.

    Implantacin de un sistema de controles internos informticos.

    Au

    dit

    or

    a In

    tern

    a y

    Exte

    rna

    Direccin de Informtica: ha de definir las normas de funcionamiento del entorno informtico y de cada una de las funciones de informtica mediante la creacin y publicacin de procedimientos, estndares, metodologa y normas, aplicables a todas las reas de informtica, as como a los usuarios que establezcan el marco de funcionamiento.

    Control Interno Informtico: ha de definir los diferentes controles peridicos a realizar encada una de las funciones informticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseados conforme a los objetivos de negocio y dentro del marco legal aplicable (estos se plasmarn en los oportunos procedimientos de control interno y podrn ser preventivos o de deteccin). Realizar peridicamente la revisin de los controles establecidos de Control Interno Informtico, informando de las desviaciones a la Direccin de Informtica y sugiriendo cuantos cambios crea convenientes en los controles.

  • Implantacin de un sistema de controles internos informticos.

    Auditora Informtica Interna y Externa Ha de revisar los diferentes controles internos definidos en cada una de las funciones informticas

    y el cumplimiento de la normativa interna y externa, de acuerdo al nivel de riesgo y conforme a los objetivos definidos por la Direccin de Negocio y la Direccin de Informtica. Informar

    tambin a la Alta Direccin, de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarn acciones que minimicen los riesgos que pueden originarse.

    La creacin de un sistema de control informtico es una responsabilidad de la Gerencia y un punto destacable de la poltica en el entorno informtico.

    Controles internos, agrupados por secciones funcionales: Son los que Control Interno Informtico y la Auditora Informtica deberan de verificar para determinar su cumplimiento y validez.

    A. Control generales organizativos.

    B. Controles sobre desarrollo, adquisicin y mantenimiento de sistemas de informacin.

    C. Controles sobre la explotacin de los sistemas de informacin.

    D. Controles sobre las aplicaciones.

    E. Controles especficos de ciertas tecnologas.

    F. Controles de Calidad.

  • Implantacin de un sistema de controles internos informticos.

    A. Control generales organizativos.

    Polticas generales.

    Planificacin (plan estratgico de informacin, plan informtico, plan general de seguridad y plan de emergencia ante desastres).

    Estndares de adquisicin.

    Procedimientos.

    Organizar el departamento de informtica.

    Descripcin de las funciones y responsabilidades dentro del departamento.

    Polticas de personal.

    Asignacin de funciones y responsabilidades.

    Asegurar que la direccin revisa todos los informes de control y resuelve las excepciones que ocurran.

    Asegurar que existe una poltica de clasificacin de la informacin.

    Designar oficialmente la figura del Control Interno Informtico y de la Auditora Informtica.

  • Implantacin de un sistema de controles internos informticos.

    B. Controles sobre desarrollo, adquisicin y mantenimiento de sistemas de informacin. Estos controles se utilizan para que se puedan alcanzar la eficacia del sistema, economa y eficiencia, integridad de los datos, proteccin de los recursos y cumplimiento con las leyes y regulaciones. Se compone de:

    Metodologa del ciclo de vida del desarrollo de sistemas (como especificaciones, estndares de pruebas, pases a produccin, roll-back, etc.).

    Explotacin y mantenimiento.

    C. Controles sobre la explotacin de los sistemas de informacin. Planificacin y gestin de recursos.

    Presencia de personal en momentos crticos (calendario personal).

    Reparto de costes informticos a la organizacin.

    Controles propios (por ejemplo, accesos muy restringidos al host).

    Revisiones tcnicas preceptivas.

    Controles para usar de manera efectiva los recursos en computadoras.

    Procedimientos de seleccin del software del sistema, de instalacin, de mantenimiento, de seguridad y de control de cambios.

    Seguridad fsica y lgica.

  • Implantacin de un sistema de controles internos informticos.

    D. Controles sobre las aplicaciones.

    Cada aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, y mantenimiento de los datos:

    Control de entrada de datos (validaciones, conversiones, formatos, procedencias, etc.).

    Controles de tratamiento de datos (sobre usos no previstos).

    Controles de salida de datos (validaciones, conversiones, formatos y procedencias ms seguridad).

    E. Controles especficos de ciertas tecnologas.

    Controles en Sistemas de Gestin de Bases de Datos.

    Controles en informtica distribuida y redes.

    Controles sobre computadoras personales (ofimtica) y redes de rea local.

    Controles conexiones OPEN HOST.

  • Implantacin de un sistema de controles internos informticos.

    F. Controles de Calidad.

    Existencia de un Plan General de Calidad basado en el Plan de la Entidad a Largo Plazo, y el Plan a Largo Plazo de Tecnologa.

    Esquema general de garanta de calidad: debe abordar todos los mbitos empresariales, no slo los de TI.

    Compatibilidad de la revisin de garanta de calidad con las normas y procedimientos habituales en las distintas funciones de Informtica.

    Metodologa de desarrollo de sistemas.

    Actualizacin de la metodologa de desarrollo de sistemas respecto a cambios en la tecnologa.

    Coordinacin y comunicacin.

    Relaciones con proveedores que desarrollan sistemas.

    Normas de documentacin de programas.

    Normas de pruebas de programas.

    Normas respecto a la prueba de sistemas.

    Pruebas piloto o en paralelo.

    Documentacin de las pruebas de sistemas.

    Evaluacin del cumplimiento de garanta de calidad de las normas de desarrollo.

  • Implantacin de un sistema de controles internos informticos.

    Criterios aplicables a un sistema de controles internos informticos.

    Polticas de respaldo.

    Los respaldos de la informacin deben realizarse mensual, semanal o diario, y se deben observar los siguientes puntos:

    - Contar con polticas formales por escrito para efectuar los respaldos mensuales, semanales y diarios de la informacin.

    - Todos los medios magnticos de respaldo no deben estar almacenados en un mismo lugar en caso de contingencia.

    - Debe tenerse acceso restringido al rea en donde se tienen almacenados los medios magnticos (operacin y respaldo).

    - Identificar las cintas por fechas, concepto y consecutivo.

    - Se debe contar con una poltica que indique los procedimientos a seguir en cuanto al almacenamiento de cintas de respaldo y se pueda tener acceso las 24 horas. Para que el responsable pueda mantener actualizada la informacin vital de la organizacin. El hecho de no contar con estas polticas de respaldo puede provocar que no se sigan los procedimientos adecuados para los respaldos, que haya riesgo de prdida de la informacin y de no tener disponibilidad inmediata a la informacin de respaldo para darle continuidad.

  • Implantacin de un sistema de controles internos informticos.

    Criterios aplicables a un sistema de controles internos informticos.

    Polticas y procedimientos.

    Las polticas existentes debe estar actualizadas en todas las actividades, estar debidamente documentadas y ser del conocimiento del personal. No contar con polticas y procedimientos actualizados que rijan la administracin del rea de sistemas podra ocasionar:

    - Administracin inadecuada de la operacin.

    - Relajamiento en el cumplimiento de las obligaciones del personal.

    - Inadecuada divisin de labores.

    Las polticas y procedimientos deben incluir los siguientes puntos:

    - Seguridad de la informacin (fsica y lgica).

    - Adquisicin de hardware y software.

    - Operacin de centro de cmputo.

    Es recomendable que se documenten todos los procedimientos, las normas y polticas por escrito en manuales de operacin. Al proceder de esta manera, se obtendrn las siguientes ventajas:

    - Se tiene una base uniforme, estable y formal para capacitacin, consulta y supervisin.

    - Rotacin del personal.

    - Responsabilidad individual de los participantes en una operacin.

  • Implantacin de un sistema de controles internos informticos.

    Criterios aplicables a un sistema de controles internos informticos.

    Polticas de revisin de bitcora (soporte tcnico).

    Deben existir bitcoras de operacin en las que se registren los procesos realizados, los resultados de su ejecucin, la concurrencia de errores, los procesos ejecutados en el equipo y la manera en que concluyeron. No contar con una poltica de revisin de las bitcoras de operacin de los diferentes procesos pueden ocasionar problemas como:

    - Carecer de bases para el rastreo de errores de procedimiento.

    - Falta de parmetros de evaluacin respecto al funcionamiento del equipo y del departamento de sistemas.

    - Ausencia de controles en cuanto a registro de seguimiento de problemas.

    - Falta de parmetro para determinar las causas de una falla significativa en el sistema y corregirlo.

    - Dependencia del personal para soluciones de errores.

    - Los errores pueden presentarse en forma recurrente y no ser detectados, provocando prdidas de tiempo en la correccin.

    - Puede presentarse una prdida de tiempo al no programarse adecuadamente las funciones, lo que tiene como consecuencia una confusin en el rea respecto a los procesos que ya se realizaron y los que se deben de realizar.

  • Implantacin de un sistema de controles internos informticos.

    Criterios aplicables a un sistema de controles internos informticos.

    Control de las licencias de software.

    Todas las organizaciones deben de tener un inventario de las licencias del software actualizado, que asegure que toda la paquetera y software en general sea legal y est amparada por una licencia.

    Al no contar con las licencias correspondientes, no se puede exigir al proveedor del servicio de soporte o actualizacin de software.

    Por ello es muy importante:

    - Actualizar el inventario de hardware y software verificando que este ltimo este amparado por una licencia.

    - En caso de no contar con licencias, e necesario contactar el proveedor del software o del paquete en cuestin para actualizarlas o adquirirlas.

    - Elaborar un plan verificador de software, para que no se instale paquetera pirata.

    - Designar una forma responsable del rea de informtica para guardar y tener actualizadas las licencias.

    - Promover un plan de concientizacin entre el personal con el fin de que no se instale paquetera pirata en las mquinas propiedad de la empresa y aplicar sanciones.

  • Implantacin de un sistema de controles internos informticos.

    Criterios aplicables a un sistema de controles internos informticos.

    Polticas de seguridad fsica.

    Las instalaciones deben ser las adecuadas para asegurar el buen funcionamiento y continuidad necesaria en las operaciones. Deben existir polticas y procedimientos que describan los aspectos de seguridad fsica mnimos que deben de regir dentro del departamento de sistemas.

    Por tal motivo, durante la visita a las instalaciones se debe observar los siguientes puntos:

    - El acceso al sitio debe estar restringido por una puerta, la cual contar con una chapa adecuada de seguridad, o con un dispositivo electrnico de control de acceso.

    - Se debe tener dispositivos adecuados de deteccin de humo, as como aspersores de calor para la extincin de incendios, adems de contar con extintores.

    - Se debe tener proteccin en los servidores para que no puedan ser desconectados accidentalmente y provocar serios daos.

    - Deben existir documentos y carteles que indiquen las normas de seguridad mnima que deben de observarse al estar en el sitio.

    - El personal operativo no debe permitir el acceso a personal ajeno.

    - No conectar a la toma de corriente donde estn los equipos de cmputo y los servidores los aparatos de limpieza.

    - Los equipos elctricos, interruptores o de comunicacin, no deben estar al alcance de cualquier persona.

  • Implantacin de un sistema de controles internos informticos.

    Criterios aplicables a un sistema de controles internos informticos.

    Plan de contingencias.

    Debe existir un plan de contingencias que permita que los sistemas sigan funcionando en caso de algn siniestro o huelga. Un plan de contingencia puede asegurar que se est preparado para enfrentar imprevistos y desastres de cualquier ndole, asegurando una continuidad en la operacin de los sistemas de cmputo. Con la importancia y dependencia que se tiene de las computadoras, una prdida de informacin o la imposibilidad potencial para procesarla originada por una contingencia puede ser significativa.

    Se sugiere la revisin del plan de contingencias para que contenga los siguientes controles:

    - Delegacin de funciones y entrenamiento de personal.

    - Resumen de actividades a seguir en caso de contingencias.

    - Estudio detallado de las que tienen ms posibilidad de ocurrir y los impactos que cada una de stas ocasionara (de acuerdo a la zona geogrfica).

    - Realizar un estudio de tiempo estimado de restablecimiento de operaciones de acuerdo a una determinada contingencia, as como un estudio de consecuencias potenciales que se desprenderan por la inoperatividad de los sistemas.

  • Implantacin de un sistema de controles internos informticos.

    Ejemplo (anlisis de elementos de un control interno) El control de acceso. El control de acceso es un conjunto de procedimientos administrativos formado por mecanismos fsicos y lgicos utilizados para proteger los sistemas de informacin y las infraestructuras, y permitir el acceso solamente a las personas autorizadas. Varios factores influyen sobre el tipo de control del acceso fsico utilizado, incluyendo el tamao de la empresa, su ubicacin y la naturaleza de las actividades que se llevan a cabo en la misma.

    Algunos ejemplos de reas tecnolgicas o fsicas que deben controlarse por medio del control de acceso son:

    Los sistemas operativos. Los dispositivos para copias de seguridad. Las aplicaciones informticas especficas. Las puertas de entrada y salida.

    Existen varios tipos de tarjetas utilizadas para el control de acceso fsico.

    Para visitantes: Pase de acceso temporario. Para empleados y, en algunos casos, asociados de negocios: Tarjeta de identificacin con foto, tarjeta con banda

    magntica, tarjeta con cdigo de barras, tarjeta de proximidad, tarjeta inteligente.

    En general, los requisitos son: Registrar la hora de llegada y de partida de los visitantes; solicitar a un empleado que acompae al visitante en el edificio; solicitar a los empleados que lleven sus tarjetas de identificacin, se las muestren a los guardias de seguridad o las usen como dispositivos electrnicos de control de acceso (ejemplos: tarjeta de acceso, caractersticas de las tarjetas con NIP o con elementos biomtricos).

  • Implantacin de un sistema de controles internos informticos.

    Autorizacin

    Etapas del control de acceso

    Ejemplo (anlisis de un control interno) El control de acceso.

    Verificacin

  • Implantacin de un sistema de controles internos informticos.

    Autenticacin

    Etapas del control de acceso

    Ejemplo (anlisis de un control interno) El control de acceso.

    Verificacin

  • Implantacin de un sistema de controles internos informticos.

    Autenticacin Autorizacin

    Etapas del control de acceso

    Ejemplo (anlisis de un control interno) El control de acceso.

  • UNIDAD VI. CONTROL.

    Fuente: El contenido de este documento es estrictamente con propsito didctico (sin fines de lucro) y su contenido ha sido tomado del libro de KOONTZ HAROLD y WEIHRICH HEINZ , titulado Administracin, una perspectiva global 14a. Edicin. Editorial Mcgraw-Hill.